上海网站建设哪家专业,四川微信小程序代理,网站设置快捷方式到桌面,温州市建设工程质量监督站网站欺骗是黑客用来未经授权访问计算机或网络的一种网络攻击#xff0c;IP 欺骗是其他欺骗方法中最常见的欺骗类型。通过 IP 欺骗#xff0c;攻击者可以隐藏 IP 数据包的真实来源#xff0c;使攻击来源难以知晓。一旦访问网络或设备/主机#xff0c;网络犯罪分子通常会挖掘其中…欺骗是黑客用来未经授权访问计算机或网络的一种网络攻击IP 欺骗是其他欺骗方法中最常见的欺骗类型。通过 IP 欺骗攻击者可以隐藏 IP 数据包的真实来源使攻击来源难以知晓。一旦访问网络或设备/主机网络犯罪分子通常会挖掘其中的敏感数据利用计算机它们可以变成僵尸并可用于发起拒绝服务 (DoS)攻击。
什么是 IP 欺骗
IP 地址用于互联网上设备之间的通信。网络犯罪分子使用虚假的源 IP 地址来隐藏和冒充另一个系统。本质上使目标系统更难检测到。此类攻击的目的是窃取敏感数据用恶意软件或病毒感染您的计算机甚至使您的服务器崩溃。
IP 欺骗的工作原理
那么让我们深入了解 IP 欺骗的工作原理。IP 地址是一系列数字用于在互联网上识别您的设备每个连接到互联网的设备都有一个 IP 地址通过使用它它们可以交换数据。下面是 IP 标头数据包的样子 IP 欺骗利用来源伪造数据包内的来源类似地这就像在邮箱中的信封上放置假的回信地址。大多数情况下IP 数据包在到达目的地时会经过多个中间设备或路由器而这些设备或路由器根本不检查源地址。
在下面的例子中您可以看到网络攻击者已成功将数据包的源 IP 从 1.1.1.1 更改为 3.3.3.3更改的 IP。 现在假设有人想要破坏并完全切断他们的互联网服务他们可以向受害者发送带有虚假源地址的数据包数据包数量如此之多以至于受害者没有资源来处理合法数据包。攻击者可以在许多数据包中使用许多不同的虚假源地址而且通常无法追溯攻击者的来源以阻止受害者的攻击更糟糕的是攻击者可以征用中间节点来放大攻击方法是触发该节点向受害者发送非常大的数据包这需要更多的资源来处理如下图所示。 IP 欺骗的类型
以下三种是最常见的 IP 欺骗类型
1. 分布式拒绝服务DDoS攻击
分布式拒绝服务 (DDoS) 攻击是最常见的网络攻击它使用欺骗方法本质上是目标主机、服务或网络充斥着互联网流量。
DDoS 攻击的主要特征
基于流量的攻击其目的是使目标主机的带宽饱和。其中一些方法是执行 ICMP 洪水、UDP 洪水和其他欺骗性数据包洪水。攻击以每秒比特数 (bps) 为单位进行测量。协议攻击这些攻击利用网络协议中的弱点。例如在 TCP 中它会使用 SYN 洪水。碎片数据包攻击是另一个例子其中数据包被碎片化并重新组装以逃避安全控制并发起攻击。死亡之 Ping 和 Smurf DDoS 是其他一些攻击。这些攻击以每秒数据包 (pps) 为单位进行测量。应用层攻击这些攻击针对特定应用程序或服务使攻击看起来像合法流量。示例包括 HTTP 洪水、GET/POST 洪水和 Slowloris。这些攻击以每秒请求数 (rps) 来衡量。
2. 掩盖僵尸网络设备
IP 欺骗可用于通过掩饰僵尸网络来访问计算机。一旦僵尸网络获得对 PC 的访问权限犯罪者就会利用它从单一来源进行控制。受僵尸网络影响的 PC 会代表攻击者进行恶意攻击。
3.中间人攻击
中间人攻击用于更改数据包并在原始发送者或接收者不知情的情况下传输它们。如果攻击者伪造 IP 地址并获得个人帐户的访问权限他们就可以跟踪通信的任何方面。一旦获得访问权限个人信息很容易被盗犯罪者可以将用户引导到虚假网站等等。随着时间的推移黑客收集了大量可以使用或出售的机密信息——这意味着中间人攻击比其他攻击更有价值、更有利可图。
如何检测 IP 欺骗
网络监控工具可用于分析端点的流量。虽然最终用户很难检测到 IP 欺骗攻击但源 IP 的更改是在网络层即开放系统互连通信模型的第 3 层中完成的。由于修改是在数据包级别完成的因此不会留下任何更改的迹象。通常欺骗的连接请求从外部看起来是真实的。让我们讨论一下您可以缓解此类攻击的方法
数据包过滤 用于分析数据包检查数据包的 IP 地址与访问控制列表 (ACL) 上详细的 IP 地址之间是否存在不一致用于检测被篡改的数据包。入口过滤 检查传入数据包以评估源 IP 报头是否与允许的源地址匹配。如果检查失败则丢弃数据包。出口过滤 验证出站数据包的源地址是否与组织网络的源地址不匹配。这可以防止内部用户发起 IP 欺骗攻击。
如何防范 IP 欺骗
IP 欺骗的工作方式可以隐藏攻击者的身份因为很难追溯到其原始来源。但是我们可以采取一些反欺骗措施来降低此类攻击的风险。
不断扫描网络以查找异常活动数据包过滤机制用于检测与组织注册网络不同的源 IP验证所有 IP 地址并部署网络攻击预防工具在路由器/防火墙上启用保留路径转发以验证如果流量来自伪造的 IP 地址是否会在接口上被阻止。
欺骗攻击示例
GitHub 欺骗攻击2019 年 2019 年 7 月一场复杂的网络钓鱼活动针对 GitHub 用户目的是窃取他们的登录凭据和双因素身份验证 (2FA) 代码。入侵涉及欺骗方法攻击者冒充 GitHub 和其他知名实体以获取用户的信任从而泄露敏感信息。
攻击细节
网络钓鱼电子邮件攻击者发送电子邮件声称自己来自 GitHub。电子邮件中的信息是通知用户有关可疑的登录尝试、帐户安全问题或需要更新的情况这些情况对其帐户的安全至关重要并敦促用户单击链接以保护其帐户。欺骗性网站 URL 链接将用户带到镜像 GitHub 登录页面的网站。现在当用户输入其凭据时攻击者就会获取此信息。凭证收集 一旦用户在欺骗网站上输入其凭证和 2FA 代码攻击者就能够收集这些信息。 这使攻击者能够未经授权访问用户的 GitHub 帐户。利用访问 GitHub 帐户将可能会导致大量的利用。
更改或删除代码存储库访问包含敏感信息的私人存储库。使用被盗账户在网络或组织内发起进一步攻击
结论
IP 欺骗仍然是一种普遍且危险的网络攻击类型它允许犯罪者通过隐藏其真实身份来未经授权访问网络和系统。更改源 IP 地址并将其追溯到攻击源非常困难。正如在 GitHub 欺骗攻击中讨论的那样攻击者使用了各种策略这些策略有效地欺骗用户向您提供他们的敏感信息从而导致凭证被盗、未经授权的访问和进一步的利用。
为了缓解此类攻击我们需要采用全面的网络监控系统、数据包过滤、入口和出口过滤等工具。此外在路由器和防火墙上启用反向路径转发等高级技术将有助于验证 IP 数据包的来源。
必须采取主动的方法来保护网络和用户免受 IP 欺骗攻击这将降低此类攻击的风险和影响并有助于保护敏感数据。
